Dotaz: Routovani verejnych ip z rozsahu 16ip do tri vetvi lokalni site

Zdravim, nejak si nevim rady s nastavenim routovaci tabulky pro nasi sit: [Poskytovateluv router IP xx.xx.xx.1 maska 255.255.255.224]--[nas router ip xx.xx.xx.2 na eth0 coz je spoj k poskytovateli dale je v pocitaci 1 sitova karta ip 192.168.34.254 a tri bezdratove 192.168.1.254 - 3.254, vychozi brana na routeru je nastavena na ip poskytovatele tzv xx.xx.xx.1, kazda z karet je branou pro jednu z tech siti], routovani funguje dobre natovani taky az na to ze ne vsem sluzbam se nat libi, od poskytovatele mame prideleno 16 ip tzv. xx.2 - xx.18(dve z toho rozsahu nejsou pro nas cert vi proc ) a chtel bych nekterym lidem dat verejne adresy a nak nevim jak na to kdyz pridam routu dejmetomu na xx.17 prez eth1 tak z toho pocitace se dopingnu na celou lokalni sit(samorejme kdyz nastavim u nej jako branu tu xx.2) ale ven ne. Zrejme bych to mohl udelat bridgem ale to nechci pokud to pujde jinak taky bych mohl zrejme rozdelit ten rozsah na nekolik subsiti ale tim bych zase prisel o hodne ip a to se mi taky nechce. Jeste vse se natuje na ip xx.3. Predem dik

Jestli jsem to pochopil správně, máte v zásadě 2 možnosti: pokud jsou "vyvolené" počítače v jedné podsíti, stačí pro rozhraní Vašeho routeru směřující do vnitřní sítě (to, které už má jednu adresu z 192.168.1(..2..3..34).254 přiřadit alias s IP z veřejného rozsahu a tím je pak možno nastavit korektní routování a předat síťový rozsah do vnitřní sítě. nevýhody: složitý firewalling, ztráta relativně velkého počtu IP adres v případě, že budete chtít takto zprovoznit 2 podsítě.

Druhá alternativa počítá s virtuální DMZ. Předpokladem je, že všechny "přebytečné" IP adresy nastavíte jako aliasy na eth0 a veškerou komunikaci na všech portech a protokolech budete DNATovat na stanice ve vnitřní síti. A samozřejmě obráceně budete SNATovat odpovídající IP adresy vnitřního rozsahu adresami které jste daným IP přidělil. Samozřejmě je nutno povolit forwarding. Upozorňuji na to, že ale budete muset pečlivě nastavit firewallový skript tak, aby zohlednil všechny IP adresy přístupné zvenčí (např. "+" notifikací u jmen zařízení, případně klasickým cyklem) Rozhodně ale to je elegantnější řešení, otázkou zůstává, jak moc to bude náročné na výkon stroje, přiznávám, že takové řešení jsem v praxi ještě neaplikoval. Nevýhody: nutnost pečlivě navržených firewall rules, potenciální vyšší zatížení jádra, nepojedou protokoly obsahující ip adresu nejen v hlavičce, ale i v těle paketu (řešitelné snad pomocí modulů) výhody: elegantní, flexibilní (změna IP adres veřejného rozsahu se děje jen na routeru, klientstké stroje mají stále jen vnitřní adresu)